Νέα δικαιώματα για τους πολίτες και ενίσχυση της προστασίας των προσωπικών δεδομένων φέρνει ο νέος Γενικός Κανονισμός για την Προστασία Δεδομένων / General Data Protection Regulation – GDPR, στο εσωτερικό της ΕΕ που τέθηκε σε εφαρμογή στις 25 Μαΐου, οπότε και αναμένεται η θέσπιση νέων εθνικών ρυθμίσεων, οι οποίες θα εξειδικεύσουν την εφαρμογή διατάξεων του ΓΚΠΔ στην ελληνική έννομη τάξη. Το υπουργείο Υγείας έχει ήδη ορίσει Υπεύθυνο Προστασίας Δεδομένων και προχωρά σε ενέργειες στη λογική πλήρους συμμόρφωσης προς τις διατάξεις του ΓΚΠΔ.
Τι σημαίνει όμως η εφαρμογή του νέου Κανονισμού για το χώρο της Υγείας, ο οποίος «βρίθει προσωπικών και ευαίσθητων δεδομένων» με ιδιαίτερη βαρύτητα και σημαντική «υπεραξία»; Πόσο έτοιμες είναι οι υπηρεσίες για την ουσιαστική προστασία των δεδομένων προσωπικού χαρακτήρα, αλλά και οι ίδιοι οι Πολίτες;
Απαντήσεις δίνει στο ΑΠΕ-ΜΠΕ ο ειδικός σύμβουλος του υπουργού Υγείας σε θέματα Πληροφορικής Γιώργος Στεφανόπουλος.
Ποια είναι τα δεδομένα προσωπικού χαρακτήρα που αφορούν στην Υγεία
«Από τον Γενικό Κανονισμό για την Προστασία Δεδομένων (ΓΚΠΔ) ορίζονται τα δεδομένα που αφορούν στην υγεία: πρόκειται για δεδομένα προσωπικού χαρακτήρα, που σχετίζονται με τη σωματική ή ψυχική υγεία ενός ατόμου και δημιουργούνται, καταγράφονται και επεξεργάζονται κατά τη διαδικασία παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του».
Η υψηλή υπεραξία των δεδομένων
«Ξεφεύγοντας από την κλασική μορφή έντυπης καταγραφής του ιστορικού μας από τους επαγγελματίες υγείας και τις μονάδες υγείας και περνώντας στον ψηφιακό κόσμο της διατήρησης και επεξεργασίας πληροφορίας, το θέμα των ευαίσθητων προσωπικών δεδομένων και της πολιτικής προστασίας τους γίνεται ασφυκτικά εντονότερο, λόγω ευκολίας στη συγκέντρωση, αύξησης του όγκου τους σε τοπικό και κεντρικό επίπεδο και συνεπώς κινδύνων διαρροής και κακόβουλης προσβολής τους.
Η διείσδυση της τεχνολογίας στο χώρο της υγείας έχει οδηγήσει αδιαμφισβήτητα και στη χώρα μας στην συγκέντρωση σε τοπικό ή εθνικό επίπεδο μαζικών δεδομένων (big data) υγείας. ‘Αρα πέρα από την ωφέλεια σε επίπεδο υποστήριξης της φροντίδας και του ασθενή θα πρέπει να λάβουμε σοβαρά υπόψη μας όλους τους πιθανούς κινδύνους και συνεπώς τα απαραίτητα μέτρα για την προστασία των ίδιων των πολιτών. Δε θα δίσταζα να παρομοιάσω τα δεδομένα προσωπικού χαρακτήρα που αφορούν στο χώρο της Υγείας σαν την υπεραξία που έχει το πετρέλαιο για τις χώρες του Περσικού Κόλπου».
Η επεξεργασία των δεδομένων
«Ο χώρος της Υγείας βρίθει προσωπικών και ευαίσθητων δεδομένων, που αφορούν σε κάθε πρόσωπο στο οποίο παρέχονται υπηρεσίες υγείας (είτε υπάγεται στην Κοινωνική Ασφάλιση είτε όχι), αλλά και σε κάθε επαγγελματία στο χώρο της Υγείας.
Η επεξεργασία των δεδομένων αυτών με βάση την υφιστάμενη νομοθεσία – είτε πρόκειται για ηλεκτρονική είτε για έγχαρτη – δεν σημαίνει μόνο την ανάγκη συμμόρφωσης προς το υπάρχον νομοθετικό πλαίσιο, αλλά επιπλέον μία ουσιαστική προϋπόθεση για την παροχή υπηρεσιών υγείας υπό καθεστώς σεβασμού της ανθρώπινης αξιοπρέπειας. Ένα ασθενοκεντρικό σύστημα παροχής υπηρεσιών φροντίδας υγείας, από δημόσιους και ιδιωτικούς φορείς, οφείλει να διασφαλίζει την προστασία των δεδομένων προσωπικού χαρακτήρα, πρωτίστως των ασθενών αλλά και των επαγγελματιών του χώρου της υγείας.
Το θέμα μας απασχόλησε και μας απασχολεί συνεχώς, ιδίως εμάς που ασχολούμαστε με τον τομέα της Ηλεκτρονικής Διακυβέρνησης και της Ηλεκτρονικής Υγείας και έχουμε υποχρέωση να σχεδιάσουμε ρεαλιστικές και σοβαρές στρατηγικές που θα οδηγήσουν σε υπηρεσίες και εφαρμογές οριζόντιου και εθνικού χαρακτήρα για την ενίσχυση του έργου της φροντίδας του πληθυσμού, την ενίσχυση της δημόσιας υγείας, τη δημιουργία υποστηρικτικών εργαλείων τεκμηρίωσης πολιτικής και την απόδοση υπηρεσιών που απλοποιούν την επαφή του πολίτη με το Εθνικό Σύστημα Υγείας.
Η ουσιαστική προστασία των δεδομένων προσωπικού χαρακτήρα αποτελεί λοιπόν πρωταρχική πολιτική επιλογή και μέριμνα του Υπουργείου Υγείας και έχει ληφθεί υπόψη σε κάθε νέα δράση με τη σοβαρή συνεργασία της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) και τη Γενική Γραμματεία Ψηφιακής Πολιτικής».
Ο ορισμός Υπευθύνου Προστασίας Δεδομένων
Οι προϋποθέσεις για τον ορισμό του Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer – DPO) ορίζονται στο ΓΚΠΔ στο άρθρο 37. Υποχρεωτικά ορίζεται ιδίως όταν η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα και όταν οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ευαίσθητων δεδομένων προσωπικού χαρακτήρα, όπως είναι αυτά που αφορούν την υγεία. Η πολιτική απόφαση του Υπουργείου Υγείας – λαμβάνοντας υπόψη τη σοβαρότητα του ζητήματος και την οργανωτική δομή και το μέγεθος των εποπτευόμενων φορέων – ήταν καταρχάς να οριστεί Υπεύθυνος Προστασίας Δεδομένων στο Υπουργείο, προκειμένου να συμμετέχει και στο σχεδιασμό και την υλοποίηση των απαραίτητων δράσεων για την ουσιαστική προστασία των δεδομένων προσωπικού χαρακτήρα στο χώρο της Υγείας, δημόσιας και ιδιωτικής. Για το λόγο αυτό, αποσπάστηκε ήδη στο Υπουργείο Υγείας ο κ. Δημήτριος Ζωγραφόπουλος, ειδικός επιστήμονας (νομικός) της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, προκειμένου να αναλάβει αυτό το δύσκολο ρόλο. Με την βοήθεια του σχεδιάζουμε και οργανώνουμε τον ορισμό Υπευθύνων Προστασίας Δεδομένων σε κάθε εποπτευόμενο νομικό πρόσωπο που πληροί τα κριτήρια του ΓΚΠΔ, σε κάθε Υγειονομική Περιφέρεια και σε κάθε δημόσιο νοσοκομείο της Χώρας. Αντίστοιχα, πρέπει να οριστούν DPO σε κάθε νομικό πρόσωπο παροχής υπηρεσιών Υγείας του ιδιωτικού τομέα.
Επίσης, ήδη διαμορφώνεται σχετική εγκύκλιος η οποία θα αποσταλεί εντός των επομένων ημερών προς όλους του εποπτευόμενους φορείς σε μια προσπάθεια επεξήγησης του πλαισίου και των καθηκόντων των Υπευθύνων, της προετοιμασίας των φορέων, της χαρτογράφησης των προσωπικών δεδομένων και των κατευθυντηρίων διαμόρφωσης των μελετών αντικτύπου όπως ορίζει ο ΓΚΠΔ.
Επίσης, εντός των επομένων μηνών, πιστεύουμε πως θα είμαστε σε θέση να ξεκινήσουμε σειρά εκπαιδευτικών σεμιναρίων για την κατάρτιση των Υπευθύνων Προστασίας Δεδομένων των Φορέων και γι΄αυτό το λόγο είμαστε σε επαφή και με το ΕΚΔΔΑ.
Θεωρούμε λοιπόν πως το Υπουργείο Υγείας κινείται σωστά και συγκροτημένα στη λογική πλήρους συμμόρφωσης προς τις διατάξεις του ΓΚΠΔ.
Το κλειδί στην εφαρμογή σοβαρής πολιτικής διασφάλισης των προσωπικών δεδομένων
«Αποτελεί κοινή διαπίστωση ότι, μολονότι έχουμε εδώ και είκοσι χρόνια περίπου, από το 1997, ειδική νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα, υπάρχουν σαφώς πολύ σημαντικά περιθώρια βελτίωσης, που αφορούν συνολικά το πλαίσιο διαχείρισης και επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ειδικά στο χώρο της Υγείας. Ως χώρα πράγματι πρέπει να αναγνωρίσουμε πως είμαστε πίσω έναντι των υπολοίπων Κρατών Μελών και νομίζω πως αυτή η ειλικρινής διαπίστωση οφείλει να λειτουργήσει ως καταλύτης για να κάνουμε τα απαραίτητα βήματα. Δε θα εξωραΐσω την κατάσταση όμως οφείλω να αναγνωρίσω πως η χώρα μας πέρασε από διάφορες ατραπούς και συνεχίζει να πορεύεται ένα δύσκολο δρόμο δημοσιονομικής προσαρμογής και σίγουρα αυτό έχει επηρεάσει τις προτεραιότητές μας ως κράτος αλλά και τη λογική μας ως Πολίτες.
Είμαι όμως βέβαιος πως οποιαδήποτε νέα νομοθετική ρύθμιση κριθεί αναγκαία, θα θεσπιστεί. Αλλά εδώ θα μου επιτρέψετε να σας αναφέρω – όπως έχω διαπιστώσει μέσα από τα τρία αυτά χρόνια που υποστηρίζω το Υπουργείο Υγείας στον τομέα της Ηλεκτρονικής Διακυβέρνησης πως η λύση αντιμετώπισης του θέματος και ευρύτερα των προβλημάτων, δεν είναι μόνο ζήτημα ύπαρξης αποτελεσματικών νομικών κανόνων. Σίγουρα ένα σωστό νομικό πλαίσιο εθνικού χαρακτήρα είναι προαπαιτούμενο όμως εξίσου σημαντική είναι και η ύπαρξη ενός σωστού οργανωτικού μοντέλου λειτουργίας. Και εστιάζω στην οργάνωση η οποία αφορά στην ύπαρξη και εφαρμογή σωστών διαδικασιών και κυρίως στην γενικότερη κουλτούρα μας ως επαγγελματίες υγείας και ως Πολίτες. Δυστυχώς η χώρα μας είναι δύσκολη στην εφαρμογή και υιοθέτηση προτύπων διαδικασιών. Θα σταθώ ιδιαιτέρως στην έννοια του Πολίτη και θα τονίσω πως κάθε Ευρωπαϊκή Δράση εστιάζει στην επαγρύπνηση και στην ενδυνάμωση του ρόλου του Πολίτη και αυτό όχι τυχαία. Νομίζω πως αυτό είναι και το κλειδί στην εφαρμογή σοβαρής πολιτικής διασφάλισης των προσωπικών δεδομένων. Η πολιτική αυτή λοιπόν ξεκινάει και καταλήγει στον Πολίτη. Αυτός είναι ο κύριος των δεδομένων του και αυτός θα πρέπει να γνωρίζει για ποιο λόγο ένα Σύστημα Υγείας υποστηρίζει την καταγραφή και επεξεργασία των δεδομένων του, τι όφελος θα έχει από αυτή και πόσο θα απλοποιήσει την καθημερινότητά του και θα αυξήσει το βαθμό εξυπηρέτησής και ενίσχυσης της κατάστασης της υγείας του».
Η προστασία των δεδομένων προσωπικού χαρακτήρα πρέπει να γίνει στάση ζωής
«Η άποψή μας είναι πως πρέπει να φτάσουμε σε ένα επίπεδο, όπου η ουσιαστική προστασία των δεδομένων προσωπικού χαρακτήρα θα είναι λιγότερο ζήτημα νομικού καταναγκασμού και περισσότερο θέμα νοοτροπίας και στάσης ζωής. Καλούμαστε λοιπόν και με την ευκαιρία εφαρμογής του κανονισμού, να διαμορφώσουμε μία κουλτούρα ουσιαστικής προστασίας των δεδομένων προσωπικού χαρακτήρα, ιδίως στο χώρο της Δημόσιας Υγείας.
Οι ασθενείς θα πρέπει να αισθάνονται βεβαιότητα και σιγουριά για την ουσιαστική προστασία των δεδομένων τους προσωπικού χαρακτήρα από τους παρόχους υπηρεσιών Υγείας, τόσο του δημόσιου όσο και του ιδιωτικού τομέα. Για την επίτευξη αυτού του στόχου απαιτείται η προσπάθεια και η ενεργητική συμβολή του συνόλου των επαγγελματιών του χώρου της Υγείας. Κάθε επαγγελματίας του χώρου της Υγείας πρέπει να έχει επίγνωση ότι η ουσιαστική προστασία των δεδομένων προσωπικού χαρακτήρα είναι όχι μόνο δεοντολογική δέσμευση αλλά και σαφής νομική υποχρέωση, η παράβαση της οποίας επιφέρει κυρώσεις (πειθαρχικές, ποινικές, αστικές)».
Ο κίνδυνος από την εκδήλωση ενός Οργουελικού εφιάλτη τύπου Big Brother
«Σαφώς ο ρόλος της Πολιτείας είναι να προσπαθεί συνεχώς για την απόδοση αρτιότερων και ποιοτικότερων υπηρεσιών υγείας και για τη διασφάλιση ενός υψηλού επιπέδου υγείας του πληθυσμού, μέσα από το Εθνικό Σύστημα Υγείας (δημόσιο και ιδιωτικό). Σε αυτή την κατεύθυνση συμβάλλουν σαφώς σε πολύ μεγάλο βαθμό, τα μεγάλα δεδομένα υγείας του πληθυσμού, τα μεγάλα δεδομένα λειτουργικών και οικονομικών στοιχείων των μονάδων υγείας τα οποία συγκεντρώνουμε με τη χρήση των σύγχρονων τεχνολογιών και των συστημάτων πληροφορικής.
Οφείλουμε, λοιπόν, να σταθμίσουμε και να εξισορροπήσουμε απόλυτα τα δημοκρατικά δικαιώματα του πολίτη και του επαγγελματία υγείας, τη διασφάλιση της χρήσης του δημόσιου χρήματος και των δημόσιων πόρων και τη λειτουργία ενός σύγχρονου κράτους με όρους και κανόνες σοβαρής ηλεκτρονικής διακυβέρνησης, με απώτερο στόχο τη συνεχή αναβάθμιση των παρεχόμενων υπηρεσιών φροντίδας υγείας του πληθυσμού.
Ο κίνδυνος από την εκδήλωση ενός Οργουελικού εφιάλτη τύπου Big Brother πρέπει να είναι πάντα στο πίσω μέρος του μυαλού μας και γι’ αυτό θεωρώ πως η προάσπιση του δημοκρατικού δικαιώματος μέσω της προστασίας των προσωπικών δεδομένων των πολιτών, μας βρίσκει απόλυτα σύμφωνους και ο νέος Κανονισμός έρχεται ίσως στην καταλληλότερη στιγμή για να μας υποδείξει τις ελλείψεις μας, τις ανάγκες άμεσων παρεμβάσεων μας αλλά και τη συνεχή επαγρύπνησή μας σε σχέση με τους κινδύνους που υποκρύπτονται πίσω από πλημμελείς σχεδιασμούς σε επίπεδο ασφάλειας και λογικών απόδοσης υπηρεσιών του κράτους».